CVE-2020-25928

InterNiche NicheStack TCP/IP versão 4.0.1

A vulnerabilidade está relacionada a erros no processamento dos parâmetros de comprimento dos dados de entrada no cliente DNS do InterNiche NicheStack TCP/IP. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. O componente afetado são as funções de processamento de respostas DNS, incluindo dns upcall(), getoffset() e dnc set answer(). O vetor de ataque é um pacote de resposta DNS específico. O código não verifica o campo comprimento dos dados da resposta de respostas DNS individuais, o que pode causar operações de leitura/gravação fora dos limites, levando a vazamento de informações, negação de serviço ou execução remota de código, dependendo do contexto.

Para o InterNiche NicheStack TCP/IP versão 4.0.1, considere desativar as funções de processamento de respostas DNS, especificamente dns upcall(), getoffset() e dnc set answer(), até que um patch esteja disponível. Restrinja o acesso ao recurso DNS para minimizar o risco de exploração. Evite usar o campo length of response data em respostas DNS individuais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.